Trustwave. 5 ιδανικές περιπτώσεις για να ξεκινήσετε προληπτικά ένα κυνήγι απειλών
Καθώς οι εταιρείες και οι οργανισμοί μαθαίνουν ότι κάποιοι εξελιγμένοι επιτιθέμενοι έχουν την δυνατότητα να παραμένουν απαρατήρητοι στα δίκτυά τους για μήνες ή ακόμα και για χρόνια, είναι πια φανερό ότι υπάρχει η ανάγκη να προχωρήσετε πέρα από τη βασική πρόληψη απειλών και να γίνετε πιο ενεργητικοί στον εντοπισμό και στην εξάλειψη των απειλών.
Λαμβάνοντας υπόψη ότι το χρονικό διάστημα που μεσολαβεί από την ώρα που οι επιτιθέμενοι αποκτούν μη εξουσιοδοτημένη πρόσβαση στα δίκτυα των θυμάτων τους μέχρι την ώρα που θα ανιχνευτούν για πρώτη φορά τα περιστατικά παραβίασης είναι 83 ημέρες, σύμφωνα με την έκθεση 2018 Trustwave Global Security, οι αντίπαλοί σας έχουν αρκετό χρόνο να προκαλέσουν σοβαρή ζημιά. Όμως μια αμυντική δραστηριότητα γνωστή ως και ως «κυνήγι απειλών» που έχει κάνει την εμφάνιση της τα τελευταία χρόνια, αποτελεί ένα εξαιρετικό τρόπο για να αντιμετωπίσετε αυτό το φαινομενικά ατελεύτητο χρονικό παράθυρο, κατά την διάρκεια του οποίου οι εισβολείς μπορούν να λειτουργήσουν ανεξέλεγκτα εντός των συνόρων σας (του δικτύου σας).
Ευρύτερα γνωστό και ως η χειρωνακτική πρακτική της εφαρμογής εργαλείων, τακτικών, διαδικασιών και πληροφοριών για την αποκάλυψη προηγμένων δικτυακών επιθέσεων που έχουν καταφέρει να «πετάξουν κάτω από τα ραντάρ» και να παρακάμψουν ή να αποφύγουν τις υφιστάμενες άμυνες, οι υπηρεσίες θήρευσης απειλών, αυξάνουν συνεχώς την δημοτικότητα τους. Η αυξανόμενη δημοτικότητα τους οφείλεται εν μέρει στα παρακάτω:
- Ολοένα και πιο εξελιγμένοι επιτιθέμενοι συνεχίζουν να παρακάμπτουν τις παραδοσιακές τεχνολογίες προληπτικής ασφάλειας.
- Το σύνολο εργαλείων για το κυνήγι απειλών ή την θήρευση απειλών είναι αποδοτικότερο, αφού πια είναι διαθέσιμες ώριμες λύσεις ανίχνευσης και ανταπόκρισης endpoint (EDR) με ενσωματωμένα χαρακτηριστικά threat intelligence και συμπεριφορικής ανάλυσης.
- Σήμερα, διαπιστώνεται ότι υπάρχει ένας αυξανόμενος αριθμός επαγγελματιών στον κλάδο της ασφάλειας πληροφορικής που έχει βαθιά κατανόηση των εργαλείων και τεχνικών θήρευσης απειλών.
Με το ενδιαφέρον να είναι σήμερα μεγαλύτερο – και τις περισσότερες εταιρείες ασφαλείας να προσφέρουν λύσεις θήρευσης απειλών- θα πρέπει με προσοχή να πάρετε αποφάσεις τόσο για τη στιγμή που θα αποφασίσετε να επενδύσετε στο προληπτικό κυνήγι απειλών καθώς και στον τρόπο για να προχωρήσετε στην διεξαγωγή του. Ας δούμε παρακάτω μερικούς από τους πιο συνηθισμένους λόγους για την πραγματοποίηση ενός προληπτικού κυνηγιού απειλών. Σε μελλοντικό άρθρο, θα αναφερθούμε επίσης και στο πώς να προχωρήσετε με την πραγματοποίηση του, χρησιμοποιώντας εσωτερικούς ή εξωτερικούς πόρους.
Μερικές φορές η απόφαση να επενδύσει κάποιος σε ένα κυνήγι απειλών είναι εύκολη. Αν γνωρίζετε ότι ο οργανισμός σας έχει παραβιαστεί, το κυνήγι απειλών μπορεί να διεξάγεται καθώς η ομάδα ανταπόκρισης περιστατικών αναζητά την αιτία και την έκταση της παραβίασης. Ο καθορισμός του χρονικού σημείου για να επενδύσετε ενεργά τα χρήματα και τους πόρους προληπτικά μπορεί να είναι πιο δύσκολη, αν και στις ακόλουθες περιπτώσεις, ένα προληπτικό κυνήγι απειλών αποτελεί βέλτιστη πρακτική ασφάλειας.
- Συμμετέχετε σε μία συγχώνευση ή σε εξαγορά: Οι εταιρείες που συμμετέχουν σε δραστηριότητες συγχωνεύσεων και εξαγορών πρέπει να κάνουν την αξιολόγηση της στάσης ασφαλείας και τους ελέγχους (της εταιρείας που πρόκειται να εξαγοράσουν) μέρος της διαδικασίας της ίδιας της εξαγοράς. Ένα προληπτικό κυνήγι απειλών θα πρέπει να αποτελεί μέρος αυτής της διαδικασίας για να διασφαλιστεί ότι όταν τα δίκτυα των δύο εταιρειών συνδεθούν, δεν πρόκειται οι εισβολείς από το ένα δίκτυο να αποκτήσουν εύκολη πρόσβαση και στο άλλο.
- Έχετε βιώσει μια παραβίαση: Όταν ανακαλυφθεί μια παραβίαση δεδομένων, οι εταιρείες θέτουν σε εφαρμογή το σχέδιο IR τους (Incident Response) για να καθορίσουν τα ποιος, τι, πότε, που και πως όσον αφορά στην παραβίαση και να προχωρήσουν στην αποκατάσταση των ζημιών. Λίγες εβδομάδες ή μήνες μετά την αντιμετώπιση του περιστατικού και την αποκατάσταση, είναι μια καλή στιγμή για να προχωρήσουν στην πραγματοποίηση ενός προληπτικού κυνηγιού απειλών για να επιβεβαιωθεί ότι πράγματι η απειλή δεν υφίσταται πια. Ακόμη και η πιο εμπεριστατωμένη ομάδα IR μπορεί να χάσει έναν δείκτη παραβίασης ή συμβιβασμού ή κάποια ευπάθεια και κάποιο τρωτό σημείο που οι επιτιθέμενοι μπορούν να χρησιμοποιήσουν για να «χτυπήσουν» ξανά.
- Κάποιος συνεργάτης ή εταίρος παραβιάστηκε: Μερικές φορές, όταν ένας προμηθευτής, εργολάβος ή κάποια τρίτη εταιρεία που συνεργάζεστε έπεσε θύμα παραβίασης ενδέχεται να αποτελεί ένδειξη ότι και η δική σας επιχείρησή έπεσε θύμα παραβίασης. Αν λάβετε ειδοποίηση από έναν συνεργάτη ότι έπεσε θύμα παραβίασης, ένα προληπτικό κυνήγι απειλής μπορεί να σας βοηθήσει να προσδιορίσετε αν η κακοτυχία του επεκτάθηκε και στο δικό σας δίκτυο.
- Είστε ο νέος CISO ή ο οργανισμός σας έχει προσλάβει νέο CISO: Οι μελέτες και οι έρευνες στη βιομηχανία ποικίλλουν, αλλά οι περισσότεροι υποδηλώνουν ότι ο μέσος όρος της θητείας του υπεύθυνου ασφαλείας είναι κάπου μεταξύ 12 και 24 μηνών. Οι νέοι CISO, που είναι υπεύθυνοι για την προστασία και την διαχείριση της επιχείρησής σας, θα πρέπει να προχωρήσουν στην διεξαγωγή ενός προληπτικού κυνηγιού απειλών για να εξασφαλίσουν ότι μαζί με τη νέα τους θέση, δεν έχουν κληρονομήσει και άγνωστους επιτιθέμενους.
- Η ανοχή σας σε κινδύνους είναι χαμηλή: Αν ο οργανισμός σας δεν είναι διατεθειμένος να εκτεθεί σε κινδύνους, απαιτεί ένα εξαιρετικά ώριμο πρόγραμμα ασφαλείας. Οργανισμοί όπως αυτοί θα πρέπει να πραγματοποιούν τακτικά για προληπτικούς λόγους κυνήγια απειλών, ως μέρος του προγράμματός ασφαλείας τους, για να επικυρώσουν την ακεραιότητα του περιβάλλοντος τους και να αποκαλύψουν προηγμένες απειλές που τυχόν βρίσκονται στο περιβάλλον τους.
Εκτός από την εξεύρεση άγνωστων κακόβουλων παραγόντων ή απειλών που διαταράσσουν την υποδομή πληροφορικής σας, το κυνήγι απειλών μπορεί επίσης να παρέχει ορατότητα σε παλαιότερα άγνωστες αδυναμίες του περιβάλλοντός σας, όπως είναι για παράδειγμα το ξεπερασμένο και ευάλωτο σε απειλές και επιθέσεις λογισμικό, οι παραβιάσεις της πολιτικής, οι απειλές από το εσωτερικό (από άτομα που κατέχουν εμπιστευτικές πληροφορίες) και οι μη προστατευμένες βάσεις δεδομένων. Η εύρεση και ο προσδιορισμός κάποιου ή όλων των παραπάνω ζητημάτων συμβάλλουν στην αύξηση της ασφάλειας και στη μείωση του κινδύνου.